Cryptonews

Microsoft advierte sobre una amenaza furtiva de criptominero dirigida a usuarios de PC de alto nivel

Source
CryptoNewsTrend
Published
Microsoft advierte sobre una amenaza furtiva de criptominero dirigida a usuarios de PC de alto nivel

Microsoft Threat Intelligence ha descubierto una sofisticada campaña de cryptojacking que combina explotación web e ingeniería social extremadamente sofisticada.

Esta campaña se dirige deliberadamente a los entusiastas del hardware y a los jugadores de PC para secuestrar sus recursos de GPU de alto rendimiento con el fin de extraer criptomonedas ilegalmente.

Los expertos de Microsoft Defender observaron que los actores de amenazas ahora están envenenando los resultados del chatbot de IA para engañar a los usuarios desprevenidos para que descarguen malware.

La cadena de ataque de IA y SEO

Las campañas de criptojacking tienden a priorizar el volumen de infección sobre la precisión.

Sin embargo, esta campaña recién descubierta ha sido diseñada específicamente para obtener el mayor rendimiento posible por dispositivo.

Los atacantes atraen a sus objetivos utilizando el envenenamiento de optimización de motores de búsqueda (SEO), así como enlaces maliciosos integrados en las respuestas generadas por los chatbots de modelo de lenguaje grande (LLM). tarjeta

Los usuarios que desean descargar algún software legítimo son dirigidos a dominios similares.

Los sitios maliciosos se hacen pasar por utilidades de sistemas y monitoreo de hardware populares.

Los paquetes de descarga comprometidos incluyen CrystalDiskInfo, HWMonitor, FurMark, etc.

Evasión avanzada

Después de descargar el software objetivo, reciben un archivo ZIP con un archivo malicioso.

El sistema lanza silenciosamente el malware mediante la descarga de DLL.

A partir de ahí, el malware implementa ScreenConnect, que es una herramienta comercial legítima de administración remota. Esto hace posible que actores malintencionados obtengan acceso persistente a la máquina.

Los actores de amenazas ejecutan una técnica conocida como vaciamiento de procesos.

Una carga útil .NET personalizada llamada ⁠ lanza una utilidad confiable de Windows firmada por Microsoft e inyecta su código de minería directamente en el espacio de memoria de la utilidad confiable.

Luego, el cargador descarga clientes de minería centrados en GPU como gminer.

El malware monitorea constantemente el sistema host para pasar desapercibido:

Supervisa el uso activo de la GPU y el tiempo de inactividad del usuario. El minero finaliza automáticamente su actividad para que la víctima no note una caída repentina en el rendimiento de la PC.

El software manipula repetidamente Windows PowerShell para agregar rutas de exclusión a la configuración del antivirus.

Microsoft confirmó que Microsoft Defender Antivirus y Microsoft Defender for Endpoint detectan y bloquean amenazas vinculadas a esta campaña.

Microsoft advierte sobre una amenaza furtiva de criptominero dirigida a usuarios de PC de alto nivel